Iptables и NAT

0

0

Здравствуйте!

Борюсь с исходящим спамом и позакрывал все что только можно, но возник вопрос.
Скажите, пожалуйста, является ли дырой использование такой команды:

iptables -t nat -A POSTROUTING -o $91.190.x.x -s 172.16.100.1(мой ip) -j SNAT --to $91.190.x.x

Без этого не работает ни фтп, ни торрент. Если я разрешаю NAT для одного(или всех ПК) в локальной сети, но при этом режу 25 и другие разные порты, то сам по себе NAT может каким-то образом являться дырой и причиной пропускания СПАМа из локальных (зараженных) ПК?

Спасибо за ответы.

Ссылка

←	После обновления munin умерла часть плагинов

vsftpd вопрос

→

нет

markevichus ★★★
(24.03.10 16:47:21 MSK)

Ссылка

А если переделать вопрос в «как бороться со спамом из локалки ?» ?

Варианты:

1. закрыть форвардинг для smtp вообще и открыть для некоторого ограниченного списка релеев, их объявить пользователям.

2. Поднять локальный MTA на шлюзе, закрыть форвардинг вообще, всем сказать испрользовать шлюз в качестве smtp.

3. Поднять локальный MTA на шлюзе, сделать для smtp редирект на локальный IP шлюза

На локальном MTA настроить лимиты, можно антиспам и т.п.

AS ★★★★★
(24.03.10 18:30:03 MSK)